Auf den Punkt: Tycoon2FA-Operateure haben Device-Code-Phishing adoptiert und zwingen Nutzer, OAuth-Tokens für Angreifer-Geräte auf der Microsoft-Anmeldeseite zu autorisieren.
Das Phishing-Kit Tycoon2FA hat nach seiner Zerschlagung im März eine neue Attacktechnik integriert: Device-Code-Phishing gegen Microsoft-365-Konten. Die Angreifer missbrauchen dabei legitime Trustifi-Tracking-Links und haben ihre Infrastruktur schnell wiederaufgebaut.
Das Phishing-Kit Tycoon2FA hat sich nach seiner Zerschlagung durch eine internationale Strafverfolgungsoperation im März schnell auf neuer Infrastruktur wiederaufgebaut und nutzt inzwischen Device-Code-Phishing, um Microsoft-365-Konten zu kompromittieren. Anfang Mai meldete Abnormal Security, dass Tycoon2FA den Vollbetrieb aufgenommen hat und neue Verschleierungstechniken eingeführt hat. Ende April wurden Kampagnen beobachtet, die OAuth-2.0-Device-Authorization-Grant-Flows ausnutzen.
Bei Device-Code-Phishing senden Angreifer eine Autorisierungsanforderung an den Zieldienst, leiten den resultierenden Code an das Opfer weiter und veranlassen es, diesen auf der legitimen Anmeldeseite einzugeben. Dies autorisiert das Gerät des Angreifers auf dem Microsoft-365-Konto des Opfers und gewährt uneingeschränkten Zugriff auf E-Mail, Kalender, Kontakte und Cloud-Speicher. Push Security berichtet, dass solche Angriffe 2025 um das 37-Fache zugenommen haben, unterstützt durch mindestens zehn verschiedene Phishing-as-a-Service-Plattformen.
Der Tycoon2FA-Angriff startet mit einer Rechnungs-E-Mail, die eine Trustifi-Tracking-URL enthält. Diese Link leitet über Trustifi, Cloudflare Workers und mehrere Schichten verschleiertes JavaScript zu einer gefälschten Microsoft-CAPTCHA-Seite weiter. Die Seite zieht dann einen Microsoft-OAuth-Device-Code aus dem Backend des Angreifers und fordert das Opfer auf, diesen in microsoft.com/devicelogin einzugeben. Nach Navigation zu /common/oauth2/devicecode?client_id=… führt das Opfer die Multi-Faktor-Authentifizierung durch. Microsoft stellt dann OAuth-Access- und Refresh-Token für das von Angreifern kontrollierte Gerät aus.
eSentire dokumentiert, dass Trustifi – eine legitime E-Mail-Sicherheitslösung – missbraucht wird; wie die Angreifer die Plattform entdeckt haben oder nutzen konnten, ist unklar. Die Forschungsgruppe betont, dass der Tycoon2FA-Tradecraft identisch mit der Credential-Relay-Variante aus April 2025 bleibt.
Quelle: ainews-dev.lumi-systems.io · Erschienen 17. Mai 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.5.2.